Postura predefinida para segurança por predefinição, alargada

Esta página descreve as políticas preventivas incluídas na versão 1.0 da postura predefinida para segurança por predefinição, expandida. Esta postura predefinida ajuda a evitar configurações incorretas comuns e problemas de segurança comuns causados pelas definições predefinidas.

Pode usar esta postura predefinida para configurar uma postura de segurança que ajuda a proteger Google Cloud recursos. Se quiser implementar esta postura predefinida, tem de personalizar algumas das políticas para que se apliquem ao seu ambiente.

Política Descrição Normas de conformidade
iam.disableServiceAccountKeyCreation

Esta restrição impede que os utilizadores criem chaves persistentes para contas de serviço, o que diminui o risco de credenciais de contas de serviço expostas.

O valor é true para desativar a criação de chaves de contas de serviço.

 Controlo NIST SP 800-53: AC-2
iam.automaticIamGrantsForDefaultServiceAccounts

Esta restrição impede que as contas de serviço predefinidas recebam a função de editor do Identity and Access Management (IAM) excessivamente permissiva no momento da criação.

O valor é true para desativar as concessões de IAM automáticas para contas de serviço predefinidas.

 Controlo NIST SP 800-53: AC-3
iam.disableServiceAccountKeyUpload

Esta restrição evita o risco de material de chaves personalizado roubado e reutilizado em chaves de contas de serviço.

O valor é true para desativar os carregamentos de chaves de contas de serviço.

 Controlo NIST SP 800-53: AC-6
storage.publicAccessPrevention

Esta política impede que os contentores do Cloud Storage estejam abertos ao acesso público não autenticado.

O valor é true para impedir o acesso público aos contentores.

 Controlo NIST SP 800-53: AC-3 e AC-6
iam.allowedPolicyMemberDomains

Esta política limita as políticas de IAM para permitir apenas identidades de utilizadores geridas em domínios selecionados para aceder a recursos no interior desta organização.

O valor é directoryCustomerId para restringir a partilha entre domínios.

 Controlo NIST SP 800-53: AC-3, AC-6 e IA-2
essentialcontacts.allowedContactDomains

Esta política limita os contactos essenciais para permitir apenas identidades de utilizadores geridos em domínios selecionados para receber notificações da plataforma.

O valor é @google.com. Tem de alterar o valor para corresponder ao seu domínio.

 Controlo NIST SP 800-53: AC-3, AC-6 e IA-2
storage.uniformBucketLevelAccess

Esta política impede que os contentores do Cloud Storage usem ACLs por objeto (um sistema separado das políticas de IAM) para fornecer acesso, aplicando a consistência para a gestão de acesso e a auditoria.

O valor é true para aplicar o acesso uniforme ao nível do contentor.

 Controlo NIST SP 800-53: AC-3 e AC-6
compute.requireOsLogin

Esta política requer o início de sessão do SO em VMs criadas recentemente para gerir mais facilmente as chaves SSH, fornecer autorização ao nível do recurso com políticas de IAM e registar o acesso do utilizador.

O valor é true para exigir o Início de sessão do SO.

 Controlo NIST SP 800-53: AC-3 e AU-12
compute.disableSerialPortAccess

Esta política impede que os utilizadores acedam à porta série da VM, que pode ser usada para acesso indireto a partir do plano de controlo da API Compute Engine.

O valor é true para desativar o acesso à porta de série da VM.

 Controlo NIST SP 800-53: AC-3 e AC-6
compute.restrictXpnProjectLienRemoval

Esta política impede a eliminação acidental de projetos anfitriões da VPC partilhada, restringindo a remoção de restrições de projetos.

O valor é true para restringir a remoção da retenção do projeto de VPC partilhada.

 Controlo NIST SP 800-53: AC-3 e AC-6
compute.vmExternalIpAccess

Esta política impede a criação de instâncias do Compute Engine com um endereço IP público, o que pode expô-las ao tráfego de Internet de entrada e de saída.

O valor é denyAll para desativar todo o acesso a partir de endereços IP públicos.

 Controlo NIST SP 800-53: AC-3 e AC-6
compute.skipDefaultNetworkCreation

Esta política desativa a criação automática de uma rede de VPC predefinida e de regras de firewall predefinidas em cada novo projeto, garantindo que as regras de rede e de firewall são criadas intencionalmente.

O valor é true para evitar a criação da rede VPC predefinida.

 Controlo NIST SP 800-53: AC-3 e AC-6
compute.setNewProjectDefaultToZonalDNSOnly

Esta política restringe a escolha de definições de DNS antigas por parte dos programadores de aplicações para instâncias do Compute Engine que tenham uma fiabilidade do serviço inferior à das definições de DNS modernas.

O valor é Zonal DNS only para novos projetos.

 Controlo NIST SP 800-53: AC-3 e AC-6
sql.restrictPublicIp

Esta política impede a criação de instâncias do Cloud SQL com endereços IP públicos, o que pode expô-las ao tráfego de Internet de entrada e de saída.

O valor é true para restringir o acesso a instâncias do Cloud SQL por endereços IP públicos.

 Controlo NIST SP 800-53: AC-3 e AC-6
sql.restrictAuthorizedNetworks

Esta política impede que os intervalos de rede públicos ou não RFC 1918 acedam às bases de dados do Cloud SQL.

O valor é true para restringir redes autorizadas em instâncias do Cloud SQL.

 Controlo NIST SP 800-53: AC-3 e AC-6
compute.restrictProtocolForwardingCreationForTypes

Esta política permite o encaminhamento de protocolos de VMs apenas para endereços IP internos.

O valor é INTERNAL para restringir o encaminhamento de protocolos com base no tipo de endereço IP.

 Controlo NIST SP 800-53: AC-3 e AC-6
compute.disableVpcExternalIpv6

Esta política impede a criação de sub-redes IPv6 externas, que podem ser expostas ao tráfego de Internet de entrada e saída.

O valor é true para desativar as sub-redes IPv6 externas.

 Controlo NIST SP 800-53: AC-3 e AC-6
compute.disableNestedVirtualization

Esta política desativa a virtualização aninhada para diminuir o risco de segurança devido a instâncias aninhadas não monitorizadas.

O valor é true para desativar a virtualização aninhada da VM.

 Controlo NIST SP 800-53: AC-3 e AC-6

Veja o modelo de postura

Para ver o modelo de postura para a opção Seguro por predefinição, expandido, faça o seguinte:

gcloud

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Execute o comando gcloud scc posture-templates describe:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

A resposta contém o modelo de postura.

REST

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Para enviar o seu pedido, expanda uma destas opções:

A resposta contém o modelo de postura.

O que se segue?